อัปเดตใบรับรอง TLS สําหรับ Private Cloud

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

วิธีการที่คุณใช้ในการระบุชื่อของคีย์สโตร์และ Truststore ในโฮสต์เสมือน หรือปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายจะกำหนดวิธีที่คุณอัปเดตใบรับรอง คุณระบุชื่อของคีย์สโตร์และทรัสต์สโตร์ได้โดยใช้

  • ข้อมูลอ้างอิง - แนะนำ
  • ชื่อโดยตรง
  • ตัวแปรโฟลว์

วิธีการแต่ละวิธีให้ผลกระทบที่แตกต่างกันต่อกระบวนการอัปเดตใบรับรองตามที่อธิบายไว้ใน ตารางต่อไปนี้

ประเภทการกำหนดค่า วิธีอัปเดต/แทนที่ใบรับรอง วิธีอัปเดตโฮสต์เสมือน เซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมาย
ข้อมูลอ้างอิง (แนะนำ) สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มี ชื่อเดียวกันกับชื่อแทนเดิม

สําหรับที่เก็บข้อมูลเชื่อถือ ให้สร้างที่เก็บข้อมูลเชื่อถือที่มีชื่อใหม่

 อัปเดตการอ้างอิงเป็นคีย์สโตร์หรือ Truststore

ไม่จำเป็นต้องรีสตาร์ทเราเตอร์หรือ Message Processor
ตัวแปรโฟลว์ (ปลายทางเป้าหมายเท่านั้น) สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มี ชื่อเดิมหรือใช้ชื่อใหม่

สําหรับที่เก็บข้อมูลเชื่อถือ ให้สร้างที่เก็บข้อมูลเชื่อถือที่มีชื่อใหม่

 ส่งตัวแปรโฟลว์ที่อัปเดตในคำขอแต่ละรายการด้วยชื่อของคีย์สโตร์ ชื่อแทน หรือ Truststore

ไม่จำเป็นต้องรีสตาร์ทเราเตอร์หรือ Message Processor
โดยตรง สร้างคีย์สโตร์ ชื่อแทน และ Truststore ใหม่ อัปเดตโฮสต์เสมือนและรีสตาร์ทเราเตอร์

หากเซิร์ฟเวอร์ปลายทาง/ปลายทางใช้ Truststore ให้เปิดใช้งานพร็อกซีอีกครั้ง
โดยตรง ลบคีย์สโตร์หรือ Truststore แล้วสร้างใหม่ด้วยชื่อเดียวกัน ไม่จำเป็นต้องอัปเดตโฮสต์เสมือน ไม่จำเป็นต้องรีสตาร์ทเราเตอร์ แต่คำขอ API ล้มเหลว จนกว่าจะมีการตั้งค่าคีย์สโตร์และชื่อแทนใหม่

หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge และบริการแบ็กเอนด์ ให้รีสตาร์ท Message Processor
โดยตรง สำหรับ Truststore เท่านั้น ให้อัปโหลดใบรับรองใหม่ไปยัง Truststore หากโฮสต์เสมือนใช้ที่เก็บข้อมูลเชื่อถือ ให้รีสตาร์ทเราเตอร์

หากปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ที่เก็บข้อมูลเชื่อถือ ให้รีสตาร์ทโปรแกรมประมวลผลข้อความ

การทดสอบใบรับรองก่อนและหลังการอัปเดต

ใช้คำสั่ง openssl ต่อไปนี้เพื่อทดสอบใบรับรองปัจจุบันก่อนอัปเดต ดังนี้

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

โดยที่ hostAlias คือชื่อแทนของโฮสต์เสมือนหรือที่อยู่ IP เช่น

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

คุณควรเห็นผลลัพธ์ในแบบฟอร์ม:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

ใช้คำสั่งเดียวกันหลังจากที่คุณอัปเดตใบรับรองเพื่อทดสอบ

อัปเดตใบรับรอง TLS ในคีย์สโตร์

สําหรับการติดตั้งใช้งาน Edge ในสถานที่ตั้ง

  1. สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ในส่วนคีย์สโตร์และทรัสต์สโตร์ ในคีย์สโตร์ใหม่ โปรดตรวจสอบว่าคุณใช้ชื่อเดียวกันกับชื่อแทนคีย์ที่ใช้ใน แหล่งเก็บคีย์ที่มีอยู่

    หมายเหตุ: คุณสามารถลบคีย์สโตร์ปัจจุบันและสร้างคีย์สโตร์ใหม่ได้ด้วย ชื่อและชื่อแทน ไม่จำเป็นต้องรีสตาร์ทเราเตอร์ แต่คำขอ API จะไม่สำเร็จจนกว่าจะได้คีย์สโตร์ใหม่ มีการตั้งค่าอีเมลแทนแล้ว
  2. สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายถึงคำขอ API ลงใน Edge:
    1. หากโฮสต์เสมือนของคุณใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิงเป็น ตามที่อธิบายไว้ในการทำงาน พร้อมการอ้างอิง
    2. หากโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของคีย์สโตร์ ให้ทำดังนี้
      1. อัปเดตโฮสต์เสมือนที่อ้างอิงถึงคีย์สโตร์และอีเมลแทนคีย์เดิมให้อ้างอิงคีย์สโตร์และอีเมลแทนคีย์ใหม่
      2. รีสตาร์ทเราเตอร์ทีละตัว โปรดทราบว่าหากลบคีย์สโตร์เก่าและสร้างคีย์สโตร์ใหม่ที่มีชื่อเดียวกัน คุณไม่จำเป็นต้องรีสตาร์ทเราเตอร์

        ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
  3. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายที่การเชื่อมต่อขาออกใช้ ซึ่งหมายความว่า จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ได้ดังนี้
    1. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดต ตามที่อธิบายไว้ในหัวข้อการทำงานกับข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    2. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ยังไม่ได้ติดต่อ จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    3. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายใช้ชื่อโดยตรงของคีย์สโตร์ ให้ทำดังนี้
      1. อัปเดตการกำหนดค่าเซิร์ฟเวอร์ปลายทาง/เป้าหมายสำหรับพร็อกซี API ที่ อ้างอิงคีย์สโตร์และชื่อแทนคีย์เก่าเพื่ออ้างอิงคีย์สโตร์และคีย์ใหม่ ชื่อแทน
      2. สำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์จากคำจำกัดความ TargetEndpoint คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง

        หาก TargetEndpoint อ้างอิงคําจํากัดความของ TargetServer และคำจำกัดความของ TargetServer อ้างอิงคีย์สโตร์ ก็ไม่จำเป็นต้องทำให้พร็อกซีทํางานอีกครั้ง
      3. หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge กับบริการแบ็กเอนด์ และคุณลบ/สร้างคีย์สโตร์ใหม่โดยใช้ชื่อเดิม คุณต้องรีสตาร์ทโปรแกรมประมวลผลข้อความของ Edge
  4. หลังจากคุณยืนยันว่าคีย์สโตร์ใหม่ทำงานอย่างถูกต้องแล้ว ให้ลบคีย์สโตร์เก่า คีย์สโตร์ที่มีใบรับรองและคีย์ที่หมดอายุแล้วตามที่อธิบายไว้ข้างต้น

อัปเดตใบรับรอง TLS ใน Truststore

หากคุณใช้การอ้างอิงถึงคลังความน่าเชื่อถือ กระบวนการอัปเดตใบรับรองในคลังความน่าเชื่อถือจะเหมือนกับของคีย์สโตร์ตามที่แสดงด้านบน ความแตกต่างเพียงอย่างเดียวมีดังนี้

  • เมื่อคุณอัปโหลดใบรับรองใหม่ไปยัง Truststore ใหม่ ชื่อแทนนั้นไม่มีความสำคัญสำหรับ Truststores
  • หากใบรับรองเป็นส่วนหนึ่งของชุด คุณจะต้องสร้างไฟล์เดียวที่มีใบรับรอง และอัปโหลดไฟล์นั้นไปยังชื่อแทนเดียว หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกกันเพื่อ Truststore โดยใช้ชื่อแทนที่แตกต่างกันสำหรับใบรับรองแต่ละรายการ

หากคุณใช้ชื่อโดยตรงของคีย์สโตร์และ Truststore ของคุณ ให้ทำดังนี้

  1. อัปโหลดใบรับรองใหม่ไปยัง Truststore ตามที่อธิบายไว้ใน Keystores และ Truststore คุณไม่จำเป็นต้องลบใบรับรองเดิม
  2. สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายถึงคำขอ API ใน Edge แล้วรีสตาร์ทเราเตอร์ทีละตัว
  3. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายความว่าจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ ให้รีสตาร์ทตัวประมวลผลข้อความ Edge ทีละรายการ
  4. ยืนยันว่า Truststore ใหม่ของคุณทำงานได้อย่างถูกต้อง